In unserem vorherigen Blogbeitrag – Patch Tuesday: Oktober 2020 – haben wir kurz über Common Vulnerabilities and Exposures (CVE) gesprochen und darüber, wie Software-Schwachstellen in der National Vulnerability Database (NVD) katalogisiert werden. In diesem Blogbeitrag wollen wir etwas tiefer in die Entstehungsgeschichte der NVD eintauchen und uns ansehen, wie sie IT-Sicherheitsexperten dabei hilft, die Sicherheitslage ihres Unternehmens zu bewerten und zu verbessern.
Was ist die Nationale Datenbank für Schwachstellen (NVD) und wer verwaltet sie?
Die National Vulnerability Database (NVD) ist eine umfassende Datenbank mit gemeldeten bekannten Schwachstellen, denen CVEs zugewiesen wurden. Sie wird vom National Institute of Standards and Technology (NIST) betrieben und vom National Cybersecurity and Communications Integration Center des Department of Homeland Security sowie vom Network Security Deployment gesponsert.
Wann wurde die NVD gegründet?
Die NVD wurde ursprünglich im Jahr 2000 erstellt und hieß zunächst Internet - Categorization of Attacks Toolkit oder ICAT. Sie entwickelte sich dann zu der heutigen Sammlung von Schwachstellen.
Was bietet der NVD?
Die NVD bietet Analysen zu CVEs – dem Katalog bekannter Sicherheitsbedrohungen – und erfüllt folgende Aufgaben:
- Weist jeder Schwachstelle eine CVSS-Punktzahl (Common Vulnerability Scoring System) zu
- Bestimmt die Schwachstellenarten - Common Weakness Enumerations (CWE)
- Definiert Aussagen zur Anwendbarkeit - Common Platform Enumeration (CPE)
- Bietet verschiedene andere Informationen, die für die Funktionalität und Ausnutzbarkeit der Schwachstelle relevant sind - d. h. wie eine Ausnutzung durch Cyber-Kriminelle erfolgen kann.
Anhand dieser Informationen können Unternehmen Prioritäten für die Schwachstellen und die Patches setzen, die sie zum Schutz ihrer IT-Infrastruktur installieren sollten.
Welche Informationen zur Bewertung werden für jede Schwachstelle zur Verfügung gestellt?
Das Common Vulnerability Scoring System (CVSS) ist ein offener Satz von Standards, mit denen eine Schwachstelle bewertet und ein Schweregrad auf einer Skala von 0 bis 10 zugewiesen wird. Der NVD bietet CVSS-"Basiswerte", die die inhärenten Merkmale jeder Schwachstelle darstellen. Die Schweregrade gemäß den CVSS v3.0-Spezifikationen sind:
| Schweregrad | Basispunktzahl |
|---|---|
| Keine | 0.0 |
| Niedrig | 0.1 - 3.9 |
| Mittel | 4.0 - 6.9 |
| Hoch | 7.0 - 8.9 |
| Kritisch | 9.0 - 10.0 |
Gemeinsame Schwachstellen und Gefährdungen (CVE)
Common Vulnerabilities and Exposures (CVE) ist eine Standardkonvention für die Meldung öffentlich bekannter Sicherheitslücken. Der CVE-Katalog wurde 1999 von MITRE, einer staatlich finanzierten Forschungsorganisation, ins Leben gerufen und listet Sicherheitsbedrohungen auf.
CVE ist mehr als nur eine Datenbank: Es ermöglicht Unternehmen, eine Basislinie für die Abdeckung ihrer Sicherheitstools festzulegen. Damit können sie Daten zwischen Schwachstellen und den Diensten und der Nutzung ihrer Sicherheitstools korrelieren.
Was ist der Zweck von CVE?
Der Hauptzweck von CVE besteht darin, die Art und Weise zu standardisieren, wie eine Sicherheitslücke oder ein Sicherheitsrisiko identifiziert wird – mit einer Identifikationsnummer, einer Beschreibung und mindestens einem öffentlichen Verweis. CVE ist kostenlos nutzbar und öffentlich zugänglich. Ein Beispiel für eine CVE-ID ist CVE-2020-16891, die das Präfix CVE, das Jahr, in dem die CVE-ID vergeben wurde oder die Sicherheitslücke veröffentlicht wurde, sowie eine fortlaufende Nummer enthält.
Die CVE-Beschreibung enthält Details wie den Namen des betroffenen Produkts und des Herstellers, eine Zusammenfassung der betroffenen Versionen, den Typ der Sicherheitslücke, die Auswirkungen, den Zugang, den ein Angreifer benötigt, um die Sicherheitslücke auszunutzen, und die wichtigen Codekomponenten oder Eingaben, die betroffen sind.
Die CVE-Referenz enthält die Berichte über Sicherheitslücken, Hinweise oder Quellen, in denen die Sicherheitslücke und die mögliche Ausnutzung beschrieben werden.
Was ist der Unterschied zwischen NVD und CVE?
Obwohl diese beiden Listen/Datenbanken oft synonym verwendet werden, handelt es sich dabei um separate, wenn auch miteinander verbundene Einheiten. CVE ist im Wesentlichen eine Liste von Schwachstellen, während NVD eine robustere Datenbank ist, die auf der CVE-Liste aufbaut und vollständig mit dieser synchronisiert ist, sodass alle Aktualisierungen der CVE-Liste auch in der NVD erscheinen. Die NVD fügt außerdem die oben beschriebene Analysekomponente für jede Schwachstelle hinzu. Laut MITRE speist die CVE-Liste die NVD. Beide werden von der Cybersecurity and Infrastructure Security Agency (DHS CISA) des US-Heimatschutzministeriums gesponsert.
Wie viele Sicherheitslücken werden jedes Jahr gemeldet?
Die Cyber-Bedrohungslandschaft wächst mit der technologischen Entwicklung, und die Zahl der gemeldeten Software-Schwachstellen nimmt jedes Jahr zu. Während 2016 beispielsweise 6.447 Schwachstellen identifiziert wurden, hat sich die Zahl im Jahr 2019 auf 12.174 ungefähr verdoppelt.
Cyberangriffe können mit Hilfe der CVE- und NVD-Datenbankinformationen orchestriert werden. Daher ist es wichtig, die Sicherheitslücken in Ihren Systemen rechtzeitig zu schließen, um Ihre IT-Systeme und Daten zu schützen. Anhand des Schweregrads der Schwachstelle können Sie entscheiden, welche Prioritäten Sie bei der Bereitstellung von Patches in Ihrer Umgebung setzen wollen.
Kaseya VSA automatisiert das Software-Patch-Management, um Software-Schwachstellen zu beheben und die Software auf dem neuesten Stand zu halten. Mit Kaseya VSA können Sie Schwachstellen überwachen und den Patch-Status Ihrer gesamten IT-Umgebung in einer einzigen Konsole einsehen.
Erfahren Sie mehr über das Patch-Management von Kaseya VSA, indem Sie eine kostenlose Testversion oder eine kostenlose Demo anfordern.
